مشاهده نسخه کامل
: Jalal
19-06-2007, 21:15
وقتي صحبت از قلب ويندوز به ميان مي آيد عموما تصويري از Registry در ذهن ايجاد مي شود . Registry ابزار قدرتمندي است كه قلب و هسته اصلي اعمال تغييرات در ويندوز است . اما در اين بين Group Policy نيز ابزاري حياتي و در عين حال ساده و User Friendly است كه مي تواند تغييرات بسيار جامع و كاملي را شامل شود . در مقايسه با Registry مي توان گفت كه سادگي كار و وجود توضيحات كافي , Group Policy را برتر از Registry جلوه مي دهد . در اين سري از مقالات ابتدا به معرفي Group Policy مي پردازيم و سپس چند عمليات مهم را توسط Group Policy بررسي و پياده سازي خواهیم کرد.
مقدمه و معرفي
Group Policy مجموعه اي از تنظيمات پيكره بندي مرتبط با User و يا Computer مي باشد كه تعريف نحوه عملكرد برنامه ها , منابع شبكه و سيستم عامل درارتباط با User و يا Computer است . Group Policy مي تواند بر روي Site , Domain و Organizational Unit اعمال شود . البته موارد مذكور جزو تعاريف محيط Active Directory هستند كه در اين مقاله بررسي نخواهند شد . در نهايت تنظيمات اعمال شده بر موارد فوق روي User ها و يا Computer ها تاثير مي گذارند .
در همين رابطه تعريف ديگري نيز وجود دارد كه تفاوت بين Group Plicy هاي اعمال شده را نشان مي دهد :
Local GPO : تنظيمات اعمال شده بر روي User/Computer در حالت Local است . اين تنظيمات بايستي روي كامپيوتر توسط كاربر يا Administrator ايجاد شود و نهايتا بر روي همان كامپيوتر پياده مي شود .
Non-Local GPO : در مقابل تعريف فوق حالتي وجود دارد كه در محيط شبكه ( بطور خاص محيط Active Directory ) توسط ناظر شبكه تنظيماتي ايجاد مي شود كه در هنگام ورود كاربران به شبكه اين تنظيمات بر روي User و يا Computer آنها اعمال مي شود .
اين تنظيمات توسط يك شخص ( ناظر شبكه ) صورت گرفته و بطور كلي بر تمام كاربراني كه وارد محيط شبكه مي شوند اعمال خواهد شد .
همانطور هم كه قبلا اشاره كرديم Group Policy هاي تنظيم شده در اين مرحله بايستي به يكي از موارد Site يا Domain و يا OU متصل شوند .
نكته : دقت كنيد كه تنظيمات Group Policy تنها بر روي سيستم عامل هاي Windows XP Professional – Windows 2000 و Windows Server 2003 اعمال مي شوند و بر روي ويندوز هاي قديمي نظير خانواده 9X و يا Millennium پياده سازي نخواهند شد .
Group Policy Object Editor
كنسول Group Policy Object Editor رابطي است كه به كمك آن مي توانيم تنظيمات دلخواه خود را در Group Policy مشخص كنيم .
اين كنسول با تاپيپ دستور زير در قسمت Run باز مي شود :
برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
همانطور كه در شكل ملاحظه مي كنيد اين كنسول متعلق به سيستم Local مي باشد .
روش ديگر براي باز كردن كنسول مربوط به Group Policy به طريق زير است :
1.
در قسمت Run عبارت mmc را تايپ كرده و Enter كنيد .
2.
در كنسول باز شده و از منوي فايل گزينه Add/Remove Snap In را انتخاب كنيد .
3.
مجددا كليد Add را بزنيد .
4.
در صفحه كوچكي كه در سمت راست باز مي شود عبارت Group Policy Object Editor را پيدا كرده و يكبار روي آن كليك كنيد و سپس Add را بزنيد . اين كار باعث مي شود تا صفحه جديدي باز شده و از شما در مورد كامپيوتري كه مي خواهيد Policy آن را ويرايش كنيد سوال مي كند .
5.
با كليد Browse مي توانيد در مورد انتخاب كامپيوتر هاي ديگر تصميم گيري كنيد .
6.
در اينجا كامپيوتر Local را انتخاب كرده و OK كنيد .
7.
صفحه انتخاب كنسول را Close كرده و نهايتا در بخش بعدي OK كنيد تا كنسول براي شما به نمايش در آيد .
دقت كنيد كه مي توانيد اين كنسول را با نام دلخواه ذخيره كنيد و در مراحل بعدي از آن براي تمرين استفاده كنيد .
بررسي Group Policy Object Editor
همانطور كه در شكل شماره 1 ملاحظه كرديد در كنسول Group Policy Object Editor دو بخش اصلي مشخص هستند :
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
همانطور كه از نامشان پيداست تنظيمات هر يك مختص User و يا Computer است . به دو نكته زير دقت كنيد :
User Configuration تنظيماتي است كه بر روي User ها اعمال مي شود بدون توجه به اينكه يوزر با چه كامپيوتري به شبكه Log On كرده است .
Computer Configuration تنظيماتي است كه بر روي Computer اعمال مي شود بدون توجه به اينكه چه يوزري از طريق آن به شبكه Log On كرده است .
اگر دقت كنيد متوجه خواهيد شد كه تعدادي از تنظيمات هم در بخش User و هم در بخش Computer ديده مي شود . شكل تعريف تنظيمات يكسان است منتها اعمال آنها براي روي User/Computer كمي تفاوت ايجاد مي كند . از جمله تنظيمات مشترك مي توان موارد زير را نام برد :
Software Settings
Windows Settings
Scripts
Security Settings
و ..
دقت كنيد كه در حالتي كه Group Policy را در محيط Domain مشاهده مي كنيد تنظيمات متفاوت و يا بيشتري را نيز خواهيد يافت . در اينجا بررسي ما تنها برروي Local خلاصه شده است . در شماره هاي بعدي مقاله به بررسي مطالبي مي پردازيم كه اساس عملكرد آنها براي روي محيط Domain خواهد بود .
معرفي بخش هاي Group Policy
در اين بخش از مقاله به معرفي و تشريح موارد اصلي و بدنه Group Policy مي پردازيم . بررسي جزئيات و تنظيمات بر را بر عهده شما مي گذاريم . از جمله موارد مهمي كه در User/Computer Node ديده مي شود Security Settings است . اين بخش را مي توانيد تحت شاخه Windows Settings ببينيد .
برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید شاخه Security settings در گروه Computer Settings
Account Policies
اين شاخه خود شامل دو زير شاخه ديگر با نام هاي Password Policy و Account Lockout Policy است كه به ترتيب بررسي خواهیم کرد :
Password Policy
تنظيمات اين بخش همانطور كه از نامش پيداست بر روي كلمه عبور سيستم تاثير مي گذارد . در اين بخش مي توانيد موارد زير را تنظيم كنيد :
* تعداد كلمات عبوري كه سيستم به خاطر مي سپارد تا به كلمه عبور اول برگردد
* حداكثر و حداقل عمر كلمه عبور
* حداقل طول كلمه عبور
* پيچيدگي در كلمه عبور
آخرين مورد را بدليل اينكه براي كابر معمولي اهميت چنداني نخواهد داشت ناديده ميگيريم.
Account Lockout Policy
تنظيمات اين بخش براي كنترل و مديريت قفل شدن اكانت كاربري پس از زدن تعداد خاصي كلمه عبور اشتباه است . به مورد 1 و 3 دقت كنيد ! و اگر تونستيد رابطه آنها را بيابيد .
Local Policies
اين شاخه نيز خود به 3 زير شاخه مهم تقسيم مي گردد كه به ترتيب بررسي مي كنيم :
Audit Policy
Audit در لغت به معناي بازرسي مي باشد . اما اينجا به نوعي بررسي عملكرد يك پروسه محسوب ميشود . حال چه اين پروسه موفقيت آميز انجام شده باشد چه اينكه دچار خطا يا مشكل شده باشد .
در اين بخش مي توانيد تنظيمات زير را كنترل كنيد :
*
ورود اكانت هاي كابري به محيط Domain و يا Local - سعي كنيد تنظيم مربطو به Domain و Local را بيابيد !
*
كنترل دسترسي به Object ها : مانند فايل ها ، فولدر ها و غيره . البته Audit Object براي فعال سازي دو مرحله دارد كه مورد ديگر آن فعال كرده Audit بر روي خود Object است
*
كنترل رخداد هاي سيستم و تغييرات Policy
User Rights Assignment
تعدادي تنظيمات متنوع براي تعريف حقوق كاربران – بهتر است اين تنظيمات را بررسي كنيد و در صورتيكه به مشكل خورديد در تاپيك مختص اين مقاله مطرح كنيد .
Security Options
اين بخش هم تنظيمات امنيتي فوق العاده اي ارايه مي دهد . توصيه مي كنم حتما اين بخش را به دقت مطالعه كنيد . از جمله موراد مهمي كه مي توان اشاره كرد :
* وضعيت اكانت Administrator و تغيير نام آن
* وضعيت اكانت Guest و تغيير نام آن
* محدود سازي دسترسي به CD-Rom
* محدوديت هاي خاص در دسترسي به شبكه
و بسياري ديگر .
Public Key Policies
در صورتيكه مقاله نحوه پياده سازي Recovery Agent را مطالعه كرده باشيد تا حدودي با نحوه كار اين بخش آشنا هستيد . در گام اول اين آشنايي كافي است . به ترتيب پس از بررسي بخش ديگر Group Policy از اين بخش هم بيشتر خواهيد دانست .
Software Restriction Policies
در اين مقاله اين بخش را Skip مي كنيم تا در شماره بعدي بطور كامل به آن بپردازيم . اين بخش يكي از مواردي است كه هم براي كاربران Local و هم تحت شبكه بسيار پر كاربرد است . بخش دوم مقاله را از دست ندهيد !
IP Security Policies
IPSec هم از جمله مواردي است كه ناچارا در اين مقاله ناديده مي گيريم . چراكه گستردگي و اهميت آن به حدي است كه مقاله اي جداگانه مي طلبد .
بررسي اجمالي و خلاصه آن قطعا مفيد نخواهد بود .
Administrative Templates
همانطور كه ملاحظه ميكنيد در هر دو بخش User/Computer Configuration قسمتي با نام Administrative Templates مي بينيد كه حاوي تنظيمات مبتني بر رجيستري مي باشد . در مجموع اين دو بخش مي توانيد حدود 550 تنظيم متفاوت را براي كنترل كاربر و يا كامپيوتر در اختيار داشته باشيد . همانطور كه اشاره شد اين تنظميات Registry Based هستند و محل ذخيره آنها در رجيستري به شكل زير است :
برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنیددر بخش Administrative Templates مي توانيد زير مجموعه هاي Windows Components – Network – System كه مشترك بين User/Computer هست را ببينيد . هر كدام از بخش هاي فوق تنظيمات فراواني را در اختيار شما قرار مي هد و فقط كافي است تا نگاهي بر آنها داشته باشيد تا بتوانيد به عملكرد آنها پي ببريد .
دقت كنيد كه در Group Policy براي هر تنظيمي راهنماي بسيار خوبي هم گنجانده شده است . اين راهنما به 3 طريق در اختيار شما قرار مي گيرد :
1. حالت Extended در كنسول Group Policy
2. Explain Tab هنگامي كه از تنظيمي Properties مي گيريد
3. كليك راست و انتخاب گزينه Help
در شكل زير مي توانيد اين سه مورد را ببينيد :
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
Administrative Templates در واقع فايل هاي متني هستند كه در Group Policy بكار گرفته شده اند . اين فايل ها با پسوند adm در ويندوز سرور 2003 و XP ديده مي شوند . در مورد Administrative Templates بهتر است نكات زير را بدانيد :
اول اينكه بخش Administrative Templates در Group Policy تنها بخشي است كه مي توان آن را با اضافه كردن Template هاي ديگر ويرايش و اصلاح كرد . فايل هاي adm را مي توانيد از سايت مايكروسافت بر اساس ويندوز مد نظرتان دريافت كنيد . البته در انتهاي بحث لينك اين فايل ها را نيز معرفي خواهيم كرد .
مورد بعدي اينكه اصولا Administrative Templates به سه نوع زير تقسيم مي شود :
Default كه بصورت پيش فرض در Group Policy وجود دارد .
Vendor Supplied مواردي كه سازنده آنها را ارايه مي دهد . مانند همين فايل هاي adm كه مي توانيد از سايت مايكروسافت دريافت كنيد .
Custom كه بر اساس زبان .adm نوشته و مورد استفاده قرار مي گيرند .
مي توانيد با جستجوي عبارت adm Language Reference در Microsoft Technet جزئيات بيشتر و راهنماي مناسبتري را بيابيد .
Scripts
بخش Scrips هم مانند چند مثال قبل هم در User و هم در Computer ديده مي شود . بااين تفاوت كه نام و نحوه عملكرد آن در حالت User و Computer تفاوت خواهد داشت . در تنظيمات Computer Settings اين Script ها را با توضيح Startup/Shutdown مي بينيد . مشخص است كه اين Script ها در زمان Startup و Shutdown سيستم بدون توجه به كاربر جاري اجرا خواهند شد. در تنظيمات User Settings اين Script ها را با توضيح Logon/Logoff ملاحظه مي كنيد . اين Script ها در لحظه Logon و Logoff كاربر اجرا ميشوند و جداي از كامپيوتر خواهند بود .
نحوه اعمال Policy - بررسي چند دستور مفيد
براي بررسي اينكه تنظيمات Group Policy چگونه تاثير مي گذارد پروسه ورود به ويندوز سرور 2003 را در نظر بگيريد .
دقت اينكه در اين پروسه اعمال Policy هاي شبكه را در نظر نمي گيريم . چرا كه همانطور كه در طول مقاله اشاره كرديم Group Policy مي تواند از طريق محيط Active Directory نيز بر User/Computer اعمال گردد .
1. در گام اول تنظيمات مربوط به كامپيوتر پردازش مي شوند . تا انتهاي اين مرحله واسط ارتباطي با يوزر ديده نمي شود
2. در گام دوم Startup Scripts اجرا مي شوند . هر Script بايستي كامل اجرا گردد تا نوبت به اجراي مورد بعدي برسد
3. در اين هنگام واسط ارتباط با كاربر فعال شده و پس از زدن كليد Ctrl+Alt+Del كاربر خاصي وارد مي شود
4. بعد از اينكه يوزر شناسايي شد آنگاه تنظيمات مربوط به يوزر اعمال مي شود
5. در گام آخر Logon Scripts اجرا خواهند شد
باز هم اشاره مي كنيم كه اين پروسه بدون در نظر گرفتن محيط شبكه بررسي شده و هنگامي كه محيط بررسي Active Directory باشد آنگاه بايستي در مورد Policy هاي Link شده به Site , Domain , OU نيز اظهار نظر كرد .
GPResult
اين دستور در محيط CMD اجرا مي شود و بطور كلي ( اگر بدون سوئيچ بكار رود ) به بررسي Policy هاي Apply شده بر روي سيستم پرداخته و در انتها گزارشي را ارايه مي دهد . از جمله سوئيچ هاي مهم اين دستور عبارتند از :
* S/ كه مي توان به سيستم ديگري متصل شده و Policy هاي اعمال شده آن را بررسي كرد
* U/ بررسي Policy هاي يوزر خاص
* P/ ارايه كلمه عبور براي يوزر خاص
راهنماي استفاده از gpresult
برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنیدGPUpdate
اين دستور نيز در محيط CMD و براي Refresh و نو سازي Policy هاي اعمال شده بكار مي رود . در اين دستور مي توانيد سوئيچ هاي مهمي را ببينيد كه ميتوانند كار هاي متفاوتي را انجام دهند . بررسي سوئيچ ها بر عهده شما مي گذاريم .
راهنماي استفاده از gpupdate
برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنیدResultant
Set Of Policy - RSOP
اين وسيله جديد در ويندوز سرور 2003 اجازه مي دهد تا به بررسي و كنترل دقيق Group Policy پرداخته و ايرادهاي آن را نيز مرتفع سازيد .
بدليل اينكه اين وسيله در ويندوز سرور 2003 بررسي شده و از حوزه اين مقاله خارج است لذا تنها به نحوه فعال سازي آن اشاره مي كنيم . در صورتيكه تمايل داشتيد حزئيات بيشتري بدانيد با ارايه سوال خود در تاپيك مربوط به اين مقاله مطلب را به بحث و بررسي بگذاريد . حتما شما را همراهي خواهيم كرد . بياد بياوريد مراحلي را كه براي ايجاد كنسول Group Policy Editor در mmc طي كرديد . همان مراحل را مجددا طي كنيد اما اين بار در پنجره انتخاب Add Standalone Snap-in عبارت Resultant Set Of Policy را انتخاب كرده و OK كنيد .
كنسول ايجاد شده را با اسم مورد نظرتان ذخيره كنيد و سپس در Console Root بر روي Resultant Set Of Policy كليك راست كرده و عبارت Generate RSOP Data را بزنيد .
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
پس از اولين Next مي بينيد كه تنها يكي از 2 مد كاري RSOP را در اختيار داريد ( البته در Windos XP ) . اين مد ( Logging Mode ) به شما اين اجازه را مي دهد تا تنظيمات فعلي و اعمال شده بر روي سيستم خود يا سيستم Remote را باز بيني كنيد . در واقع كاري شبيه GPResult را انجام ميدهد .
پس از گذر از مرحله انتخاب مد با انتخاب كامپيوتر خود به مرحله بعدي برويد .
در اينجا مي توانيد كاربر مد نظر خود را انتخاب كنيد . كاربر فعلي را تغيير ندهيد و Next را بزنيد .
در اين صفحه پس از ارايه گزارشي از نحوه تنظيمات برنامه با زدن كليد Next بررسي شروع خواهد شد . پس از اتمام كار مشاهده مي كنيد كه در كنسول Policy ها دقيقا مشابه ويراشگر Group Policy چيده مي شوند . مواردي كه در سيستم شما فعال يا غير فعال هستند را مي توانيد در ستون هاي مقابل تنظيمات مشاهده كنيد .
براي اينكه نتيجه بهتري از بررسي و باز بيني بوسيله RSOP داشته باشيد بهتر است از قبل تعدادي Policy را بر روي سيستم خود تعريف كرده باشيد تا در اينجا بتوانيد نتيجه را ملاحظه كنيد .
سخن پایانی
در بخش اول از مقاله معرفي Group Policy به بررسي اجمالي اين كنسول مديريتي پرداختيم و با معرفي بخش و زير بخش هاي مختلف آن تا حدودي شما را با اين ابزار قدرتمند آشنا ساختيم . در Group Policy شما مي توانيد چيزي بيش از 600 تنظيم متفاوت داشته باشيد . لذا اصلا احتياجي نيست با حفظ كردن مكان تنظيمات مختلف وقت خود را تلف كنيد . تنها همين كه بدانيد تنظيم مورد نظر در كجا قرار گرفته با Review كوتاهي مي توانيد به نتيجه برسيد .
بررسي چند ابزار مهم در ارتباط با Group Policy از ديگر بخش هاي اين مطلب بود . كار با دستورات Command Based مي تواند توانايي شما را در ارتباط با تفهيم بهتر مسايل بالا ببرد . لذا توصيه ما اين است كه بيشتر با اين ابزار كار كنيد .
در انتها به معرفي چند منبع ذكر شده در مقاله مي پردازيم :
دانلود فايل هاي Adm ( دسته بندي شده بر اساس سيستم عامل )
برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنیدمرجع زبان Adm براي Administrative Templates
برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
منبع :
برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
لينك براي چاپ مقاله
برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
مقدمه و معرفي
Group Policy مجموعه اي از تنظيمات پيكره بندي مرتبط با User و يا Computer مي باشد كه تعريف نحوه عملكرد برنامه ها , منابع شبكه و سيستم عامل درارتباط با User و يا Computer است . Group Policy مي تواند بر روي Site , Domain و Organizational Unit اعمال شود . البته موارد مذكور جزو تعاريف محيط Active Directory هستند كه در اين مقاله بررسي نخواهند شد . در نهايت تنظيمات اعمال شده بر موارد فوق روي User ها و يا Computer ها تاثير مي گذارند .
در همين رابطه تعريف ديگري نيز وجود دارد كه تفاوت بين Group Plicy هاي اعمال شده را نشان مي دهد :
Local GPO : تنظيمات اعمال شده بر روي User/Computer در حالت Local است . اين تنظيمات بايستي روي كامپيوتر توسط كاربر يا Administrator ايجاد شود و نهايتا بر روي همان كامپيوتر پياده مي شود .
Non-Local GPO : در مقابل تعريف فوق حالتي وجود دارد كه در محيط شبكه ( بطور خاص محيط Active Directory ) توسط ناظر شبكه تنظيماتي ايجاد مي شود كه در هنگام ورود كاربران به شبكه اين تنظيمات بر روي User و يا Computer آنها اعمال مي شود .
اين تنظيمات توسط يك شخص ( ناظر شبكه ) صورت گرفته و بطور كلي بر تمام كاربراني كه وارد محيط شبكه مي شوند اعمال خواهد شد .
همانطور هم كه قبلا اشاره كرديم Group Policy هاي تنظيم شده در اين مرحله بايستي به يكي از موارد Site يا Domain و يا OU متصل شوند .
نكته : دقت كنيد كه تنظيمات Group Policy تنها بر روي سيستم عامل هاي Windows XP Professional – Windows 2000 و Windows Server 2003 اعمال مي شوند و بر روي ويندوز هاي قديمي نظير خانواده 9X و يا Millennium پياده سازي نخواهند شد .
Group Policy Object Editor
كنسول Group Policy Object Editor رابطي است كه به كمك آن مي توانيم تنظيمات دلخواه خود را در Group Policy مشخص كنيم .
اين كنسول با تاپيپ دستور زير در قسمت Run باز مي شود :
برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
همانطور كه در شكل ملاحظه مي كنيد اين كنسول متعلق به سيستم Local مي باشد .
روش ديگر براي باز كردن كنسول مربوط به Group Policy به طريق زير است :
1.
در قسمت Run عبارت mmc را تايپ كرده و Enter كنيد .
2.
در كنسول باز شده و از منوي فايل گزينه Add/Remove Snap In را انتخاب كنيد .
3.
مجددا كليد Add را بزنيد .
4.
در صفحه كوچكي كه در سمت راست باز مي شود عبارت Group Policy Object Editor را پيدا كرده و يكبار روي آن كليك كنيد و سپس Add را بزنيد . اين كار باعث مي شود تا صفحه جديدي باز شده و از شما در مورد كامپيوتري كه مي خواهيد Policy آن را ويرايش كنيد سوال مي كند .
5.
با كليد Browse مي توانيد در مورد انتخاب كامپيوتر هاي ديگر تصميم گيري كنيد .
6.
در اينجا كامپيوتر Local را انتخاب كرده و OK كنيد .
7.
صفحه انتخاب كنسول را Close كرده و نهايتا در بخش بعدي OK كنيد تا كنسول براي شما به نمايش در آيد .
دقت كنيد كه مي توانيد اين كنسول را با نام دلخواه ذخيره كنيد و در مراحل بعدي از آن براي تمرين استفاده كنيد .
بررسي Group Policy Object Editor
همانطور كه در شكل شماره 1 ملاحظه كرديد در كنسول Group Policy Object Editor دو بخش اصلي مشخص هستند :
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
همانطور كه از نامشان پيداست تنظيمات هر يك مختص User و يا Computer است . به دو نكته زير دقت كنيد :
User Configuration تنظيماتي است كه بر روي User ها اعمال مي شود بدون توجه به اينكه يوزر با چه كامپيوتري به شبكه Log On كرده است .
Computer Configuration تنظيماتي است كه بر روي Computer اعمال مي شود بدون توجه به اينكه چه يوزري از طريق آن به شبكه Log On كرده است .
اگر دقت كنيد متوجه خواهيد شد كه تعدادي از تنظيمات هم در بخش User و هم در بخش Computer ديده مي شود . شكل تعريف تنظيمات يكسان است منتها اعمال آنها براي روي User/Computer كمي تفاوت ايجاد مي كند . از جمله تنظيمات مشترك مي توان موارد زير را نام برد :
Software Settings
Windows Settings
Scripts
Security Settings
و ..
دقت كنيد كه در حالتي كه Group Policy را در محيط Domain مشاهده مي كنيد تنظيمات متفاوت و يا بيشتري را نيز خواهيد يافت . در اينجا بررسي ما تنها برروي Local خلاصه شده است . در شماره هاي بعدي مقاله به بررسي مطالبي مي پردازيم كه اساس عملكرد آنها براي روي محيط Domain خواهد بود .
معرفي بخش هاي Group Policy
در اين بخش از مقاله به معرفي و تشريح موارد اصلي و بدنه Group Policy مي پردازيم . بررسي جزئيات و تنظيمات بر را بر عهده شما مي گذاريم . از جمله موارد مهمي كه در User/Computer Node ديده مي شود Security Settings است . اين بخش را مي توانيد تحت شاخه Windows Settings ببينيد .
برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید شاخه Security settings در گروه Computer Settings
Account Policies
اين شاخه خود شامل دو زير شاخه ديگر با نام هاي Password Policy و Account Lockout Policy است كه به ترتيب بررسي خواهیم کرد :
Password Policy
تنظيمات اين بخش همانطور كه از نامش پيداست بر روي كلمه عبور سيستم تاثير مي گذارد . در اين بخش مي توانيد موارد زير را تنظيم كنيد :
* تعداد كلمات عبوري كه سيستم به خاطر مي سپارد تا به كلمه عبور اول برگردد
* حداكثر و حداقل عمر كلمه عبور
* حداقل طول كلمه عبور
* پيچيدگي در كلمه عبور
آخرين مورد را بدليل اينكه براي كابر معمولي اهميت چنداني نخواهد داشت ناديده ميگيريم.
Account Lockout Policy
تنظيمات اين بخش براي كنترل و مديريت قفل شدن اكانت كاربري پس از زدن تعداد خاصي كلمه عبور اشتباه است . به مورد 1 و 3 دقت كنيد ! و اگر تونستيد رابطه آنها را بيابيد .
Local Policies
اين شاخه نيز خود به 3 زير شاخه مهم تقسيم مي گردد كه به ترتيب بررسي مي كنيم :
Audit Policy
Audit در لغت به معناي بازرسي مي باشد . اما اينجا به نوعي بررسي عملكرد يك پروسه محسوب ميشود . حال چه اين پروسه موفقيت آميز انجام شده باشد چه اينكه دچار خطا يا مشكل شده باشد .
در اين بخش مي توانيد تنظيمات زير را كنترل كنيد :
*
ورود اكانت هاي كابري به محيط Domain و يا Local - سعي كنيد تنظيم مربطو به Domain و Local را بيابيد !
*
كنترل دسترسي به Object ها : مانند فايل ها ، فولدر ها و غيره . البته Audit Object براي فعال سازي دو مرحله دارد كه مورد ديگر آن فعال كرده Audit بر روي خود Object است
*
كنترل رخداد هاي سيستم و تغييرات Policy
User Rights Assignment
تعدادي تنظيمات متنوع براي تعريف حقوق كاربران – بهتر است اين تنظيمات را بررسي كنيد و در صورتيكه به مشكل خورديد در تاپيك مختص اين مقاله مطرح كنيد .
Security Options
اين بخش هم تنظيمات امنيتي فوق العاده اي ارايه مي دهد . توصيه مي كنم حتما اين بخش را به دقت مطالعه كنيد . از جمله موراد مهمي كه مي توان اشاره كرد :
* وضعيت اكانت Administrator و تغيير نام آن
* وضعيت اكانت Guest و تغيير نام آن
* محدود سازي دسترسي به CD-Rom
* محدوديت هاي خاص در دسترسي به شبكه
و بسياري ديگر .
Public Key Policies
در صورتيكه مقاله نحوه پياده سازي Recovery Agent را مطالعه كرده باشيد تا حدودي با نحوه كار اين بخش آشنا هستيد . در گام اول اين آشنايي كافي است . به ترتيب پس از بررسي بخش ديگر Group Policy از اين بخش هم بيشتر خواهيد دانست .
Software Restriction Policies
در اين مقاله اين بخش را Skip مي كنيم تا در شماره بعدي بطور كامل به آن بپردازيم . اين بخش يكي از مواردي است كه هم براي كاربران Local و هم تحت شبكه بسيار پر كاربرد است . بخش دوم مقاله را از دست ندهيد !
IP Security Policies
IPSec هم از جمله مواردي است كه ناچارا در اين مقاله ناديده مي گيريم . چراكه گستردگي و اهميت آن به حدي است كه مقاله اي جداگانه مي طلبد .
بررسي اجمالي و خلاصه آن قطعا مفيد نخواهد بود .
Administrative Templates
همانطور كه ملاحظه ميكنيد در هر دو بخش User/Computer Configuration قسمتي با نام Administrative Templates مي بينيد كه حاوي تنظيمات مبتني بر رجيستري مي باشد . در مجموع اين دو بخش مي توانيد حدود 550 تنظيم متفاوت را براي كنترل كاربر و يا كامپيوتر در اختيار داشته باشيد . همانطور كه اشاره شد اين تنظميات Registry Based هستند و محل ذخيره آنها در رجيستري به شكل زير است :
برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنیددر بخش Administrative Templates مي توانيد زير مجموعه هاي Windows Components – Network – System كه مشترك بين User/Computer هست را ببينيد . هر كدام از بخش هاي فوق تنظيمات فراواني را در اختيار شما قرار مي هد و فقط كافي است تا نگاهي بر آنها داشته باشيد تا بتوانيد به عملكرد آنها پي ببريد .
دقت كنيد كه در Group Policy براي هر تنظيمي راهنماي بسيار خوبي هم گنجانده شده است . اين راهنما به 3 طريق در اختيار شما قرار مي گيرد :
1. حالت Extended در كنسول Group Policy
2. Explain Tab هنگامي كه از تنظيمي Properties مي گيريد
3. كليك راست و انتخاب گزينه Help
در شكل زير مي توانيد اين سه مورد را ببينيد :
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
Administrative Templates در واقع فايل هاي متني هستند كه در Group Policy بكار گرفته شده اند . اين فايل ها با پسوند adm در ويندوز سرور 2003 و XP ديده مي شوند . در مورد Administrative Templates بهتر است نكات زير را بدانيد :
اول اينكه بخش Administrative Templates در Group Policy تنها بخشي است كه مي توان آن را با اضافه كردن Template هاي ديگر ويرايش و اصلاح كرد . فايل هاي adm را مي توانيد از سايت مايكروسافت بر اساس ويندوز مد نظرتان دريافت كنيد . البته در انتهاي بحث لينك اين فايل ها را نيز معرفي خواهيم كرد .
مورد بعدي اينكه اصولا Administrative Templates به سه نوع زير تقسيم مي شود :
Default كه بصورت پيش فرض در Group Policy وجود دارد .
Vendor Supplied مواردي كه سازنده آنها را ارايه مي دهد . مانند همين فايل هاي adm كه مي توانيد از سايت مايكروسافت دريافت كنيد .
Custom كه بر اساس زبان .adm نوشته و مورد استفاده قرار مي گيرند .
مي توانيد با جستجوي عبارت adm Language Reference در Microsoft Technet جزئيات بيشتر و راهنماي مناسبتري را بيابيد .
Scripts
بخش Scrips هم مانند چند مثال قبل هم در User و هم در Computer ديده مي شود . بااين تفاوت كه نام و نحوه عملكرد آن در حالت User و Computer تفاوت خواهد داشت . در تنظيمات Computer Settings اين Script ها را با توضيح Startup/Shutdown مي بينيد . مشخص است كه اين Script ها در زمان Startup و Shutdown سيستم بدون توجه به كاربر جاري اجرا خواهند شد. در تنظيمات User Settings اين Script ها را با توضيح Logon/Logoff ملاحظه مي كنيد . اين Script ها در لحظه Logon و Logoff كاربر اجرا ميشوند و جداي از كامپيوتر خواهند بود .
نحوه اعمال Policy - بررسي چند دستور مفيد
براي بررسي اينكه تنظيمات Group Policy چگونه تاثير مي گذارد پروسه ورود به ويندوز سرور 2003 را در نظر بگيريد .
دقت اينكه در اين پروسه اعمال Policy هاي شبكه را در نظر نمي گيريم . چرا كه همانطور كه در طول مقاله اشاره كرديم Group Policy مي تواند از طريق محيط Active Directory نيز بر User/Computer اعمال گردد .
1. در گام اول تنظيمات مربوط به كامپيوتر پردازش مي شوند . تا انتهاي اين مرحله واسط ارتباطي با يوزر ديده نمي شود
2. در گام دوم Startup Scripts اجرا مي شوند . هر Script بايستي كامل اجرا گردد تا نوبت به اجراي مورد بعدي برسد
3. در اين هنگام واسط ارتباط با كاربر فعال شده و پس از زدن كليد Ctrl+Alt+Del كاربر خاصي وارد مي شود
4. بعد از اينكه يوزر شناسايي شد آنگاه تنظيمات مربوط به يوزر اعمال مي شود
5. در گام آخر Logon Scripts اجرا خواهند شد
باز هم اشاره مي كنيم كه اين پروسه بدون در نظر گرفتن محيط شبكه بررسي شده و هنگامي كه محيط بررسي Active Directory باشد آنگاه بايستي در مورد Policy هاي Link شده به Site , Domain , OU نيز اظهار نظر كرد .
GPResult
اين دستور در محيط CMD اجرا مي شود و بطور كلي ( اگر بدون سوئيچ بكار رود ) به بررسي Policy هاي Apply شده بر روي سيستم پرداخته و در انتها گزارشي را ارايه مي دهد . از جمله سوئيچ هاي مهم اين دستور عبارتند از :
* S/ كه مي توان به سيستم ديگري متصل شده و Policy هاي اعمال شده آن را بررسي كرد
* U/ بررسي Policy هاي يوزر خاص
* P/ ارايه كلمه عبور براي يوزر خاص
راهنماي استفاده از gpresult
برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنیدGPUpdate
اين دستور نيز در محيط CMD و براي Refresh و نو سازي Policy هاي اعمال شده بكار مي رود . در اين دستور مي توانيد سوئيچ هاي مهمي را ببينيد كه ميتوانند كار هاي متفاوتي را انجام دهند . بررسي سوئيچ ها بر عهده شما مي گذاريم .
راهنماي استفاده از gpupdate
برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنیدResultant
Set Of Policy - RSOP
اين وسيله جديد در ويندوز سرور 2003 اجازه مي دهد تا به بررسي و كنترل دقيق Group Policy پرداخته و ايرادهاي آن را نيز مرتفع سازيد .
بدليل اينكه اين وسيله در ويندوز سرور 2003 بررسي شده و از حوزه اين مقاله خارج است لذا تنها به نحوه فعال سازي آن اشاره مي كنيم . در صورتيكه تمايل داشتيد حزئيات بيشتري بدانيد با ارايه سوال خود در تاپيك مربوط به اين مقاله مطلب را به بحث و بررسي بگذاريد . حتما شما را همراهي خواهيم كرد . بياد بياوريد مراحلي را كه براي ايجاد كنسول Group Policy Editor در mmc طي كرديد . همان مراحل را مجددا طي كنيد اما اين بار در پنجره انتخاب Add Standalone Snap-in عبارت Resultant Set Of Policy را انتخاب كرده و OK كنيد .
كنسول ايجاد شده را با اسم مورد نظرتان ذخيره كنيد و سپس در Console Root بر روي Resultant Set Of Policy كليك راست كرده و عبارت Generate RSOP Data را بزنيد .
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
پس از اولين Next مي بينيد كه تنها يكي از 2 مد كاري RSOP را در اختيار داريد ( البته در Windos XP ) . اين مد ( Logging Mode ) به شما اين اجازه را مي دهد تا تنظيمات فعلي و اعمال شده بر روي سيستم خود يا سيستم Remote را باز بيني كنيد . در واقع كاري شبيه GPResult را انجام ميدهد .
پس از گذر از مرحله انتخاب مد با انتخاب كامپيوتر خود به مرحله بعدي برويد .
در اينجا مي توانيد كاربر مد نظر خود را انتخاب كنيد . كاربر فعلي را تغيير ندهيد و Next را بزنيد .
در اين صفحه پس از ارايه گزارشي از نحوه تنظيمات برنامه با زدن كليد Next بررسي شروع خواهد شد . پس از اتمام كار مشاهده مي كنيد كه در كنسول Policy ها دقيقا مشابه ويراشگر Group Policy چيده مي شوند . مواردي كه در سيستم شما فعال يا غير فعال هستند را مي توانيد در ستون هاي مقابل تنظيمات مشاهده كنيد .
براي اينكه نتيجه بهتري از بررسي و باز بيني بوسيله RSOP داشته باشيد بهتر است از قبل تعدادي Policy را بر روي سيستم خود تعريف كرده باشيد تا در اينجا بتوانيد نتيجه را ملاحظه كنيد .
سخن پایانی
در بخش اول از مقاله معرفي Group Policy به بررسي اجمالي اين كنسول مديريتي پرداختيم و با معرفي بخش و زير بخش هاي مختلف آن تا حدودي شما را با اين ابزار قدرتمند آشنا ساختيم . در Group Policy شما مي توانيد چيزي بيش از 600 تنظيم متفاوت داشته باشيد . لذا اصلا احتياجي نيست با حفظ كردن مكان تنظيمات مختلف وقت خود را تلف كنيد . تنها همين كه بدانيد تنظيم مورد نظر در كجا قرار گرفته با Review كوتاهي مي توانيد به نتيجه برسيد .
بررسي چند ابزار مهم در ارتباط با Group Policy از ديگر بخش هاي اين مطلب بود . كار با دستورات Command Based مي تواند توانايي شما را در ارتباط با تفهيم بهتر مسايل بالا ببرد . لذا توصيه ما اين است كه بيشتر با اين ابزار كار كنيد .
در انتها به معرفي چند منبع ذكر شده در مقاله مي پردازيم :
دانلود فايل هاي Adm ( دسته بندي شده بر اساس سيستم عامل )
برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنیدمرجع زبان Adm براي Administrative Templates
برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
منبع :
برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
لينك براي چاپ مقاله
برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید